首頁>>>技術(shù)>>>VoIP

專家預(yù)警VoIP軟件安全隱患

鐘翠玲 2006/12/26

  12月26日國際報道 以Skype為代表的VoIP軟件相當(dāng)好用--攻擊其它人的黑客可能也這么覺得。

  上周知名網(wǎng)絡(luò)語音(VoIP)軟件Skype傳出網(wǎng)絡(luò)安全威脅的消息。最早發(fā)出警示的Websense指出,一只蠕蟲通過Skype Chat功能,向Skype用戶發(fā)出要求下載某執(zhí)行文件的信息,一旦對方執(zhí)行之后就會被植入間諜程序,不但可竊取使用者信息,還會連接外部主機下載其它惡意程序。

  Websense隨后將之修正為木馬程序。而CA則發(fā)布通告宣稱是同時間出現(xiàn)名為Win32/Chatosky.A的蠕蟲,以及Win32/Skiks.A的木馬程序,兩種惡意程序互不相干,首次出現(xiàn)時間也不盡相同。前者包含無法成功對外連接的URL,后者則會記錄鍵擊(keystroke)順序以竊取用戶密碼、信用卡號碼等機密信息。

  包括Websenese、CA或賽門鐵克都因該程序造成災(zāi)害輕微、散布區(qū)域不大而列為低風(fēng)險。只要定期更新防毒程序的用戶都不致有影響。不過另一方面,安全通報卻也印證了今年初安全公司與顧問公司的預(yù)言。

  今年三月,國際安全研究組織Communication Research Network警告,由于Skype、Vonage及其它VoIP軟件使用專屬通訊協(xié)議,且傳輸內(nèi)容經(jīng)過加密,外界無法監(jiān)看傳輸內(nèi)容,可能Skype的用戶計算機被植入傀儡程序而變成傀儡網(wǎng)絡(luò)(botnet)大軍中的一員。

  六月間,Gartner也發(fā)布了一份Skype安全威脅相關(guān)報告,指出Skype具有安全威脅,建議企業(yè)開放之前必須要先完成Skype的風(fēng)險評估。

  “可以說惡夢即將成真,”CA臺灣安全技術(shù)顧問林宏嘉說。

  不只Skype

  包括Skype在內(nèi)的數(shù)種免費的VoIP/IM軟件,拜網(wǎng)絡(luò)普及及通訊技術(shù)進步之賜,已成為廣受網(wǎng)絡(luò)使用者歡迎、用以取代市話的通訊軟件。以最知名的Skype為例,全球已有700萬名用戶。

  目前Google、AOL、Yahoo、MSN等大廠的知名實時通訊(Instant Messenging, IM)軟件也都具備VoIP功能。

  雖然相當(dāng)方便好用,然而也正因為如此,此類以通道技術(shù)(tunneling)為基礎(chǔ)的傳輸軟件可能淪為不肖人士的攻擊工具,安全專家指出。

  首先,相較于傳統(tǒng)郵件或Web流量,VoIP傳遞的語音信息更難以管制。語音垃圾郵件(spam over internet telephony,SPIT) 未來也可能像現(xiàn)在的垃圾郵件一樣塞爆語音信箱。

  Fortinet安全專家也預(yù)測,VoIP難以追查來電者的位置及身份,可能被有心人士僭用,使得困擾許多老人甚至高知識分子的詐騙電話蔓延到網(wǎng)絡(luò)上。

  近在眼前

  而除了預(yù)測式的安全隱憂之外,一種更難以防御的安全威脅則可能已經(jīng)近在眼前。

  趨勢科技臺灣技術(shù)總監(jiān)王應(yīng)達在先前訪問中指出,隨著人工智能技術(shù)的進步,現(xiàn)在已出現(xiàn)惡意程序代碼甚至可以冒充使用者IM軟件通訊名單的“聯(lián)絡(luò)人”,和使用者進行簡單對話,誘使使用者不疑有他,依據(jù)送來的信息點入網(wǎng)址甚至接受訊息。

  林宏嘉則直指VoIP等信道技術(shù)軟件的威脅。防毒、入侵偵測等網(wǎng)絡(luò)防御工具的普及,迫使惡意程序作者的行為朝低調(diào)及精準(zhǔn)、區(qū)域性的攻擊轉(zhuǎn)變,他說,VoIP確保通訊內(nèi)容隱密,卻也給了惡意程序逃過監(jiān)控的機會,而受害者少,更加深樣本搜集—以及防毒解藥產(chǎn)生—的難度。

  上周出現(xiàn)的Skype攻擊程序已經(jīng)展現(xiàn)新的網(wǎng)絡(luò)攻擊特征。他說,只要再稍加改進,例如包含不固定檔案的惡意程序,或是暗中植入而毋需使用者接收,引發(fā)的災(zāi)難將不堪設(shè)想。

  CA已對企業(yè)用戶發(fā)出通報,要求客戶注意來自Skype的風(fēng)險。

  VoIP軟件“好用、難管、擋不到、樣本少,”他說,“黑客只要夠創(chuàng)意,要一次撂到數(shù)百萬用戶并不是不可能的事。”

新浪科技(tech.sina.com.cn)


相關(guān)鏈接:
中型企業(yè)語音通信市場要邁四道坎 2006-12-25
VoIP成網(wǎng)絡(luò)詐騙新歡?專家教你防御之道(下) 2006-12-25
全球免費可視電話不再是神話 專訪張原天 2006-12-22
VOIP電信管制政策將試探性放松 2006-12-21
In-Stat:基于IP-PBX的企業(yè)VOIP超個人VOIP 2006-12-21

分類信息: